インターネット利用者のほとんどに影響するセキュリティの問題が発覚しました。その概要と対応について中間解説してみます。

とりあえずサーバ管理者としてはもちろん、利用者としても無視できない問題です。
インターネット利用者のほとんどに影響するセキュリティの問題が発覚しました。
Webサイト上でのやり取りの際の暗号化に使われている”OpenSSL”というシステムに脆弱性(ぜいじゃくせい)が見付かりました。
しかもかなり危険です。

OpenSSLって何?

まず、”OpenSSL”とは何をしているものなのか?というのをいい機会ですので覚えておきましょう。
通常、Webサイトを閲覧したり、メールの送受信を行ったりしていると思いますが、この時、サイトのデータやメールのデータは「サーバ」から皆さんのパソコンやスマートフォン・iPhoneなどの「端末」に送信されます。
この時、送信されるのは「生データ」です。つまり、送信されている途中で誰かがデータを「盗み見ることが可能」です。
ここで問題になるのが、例えば「クレジットカード情報」や、会員制のサイトにログインするときに送信する「ID/パスワード」です。これらの情報が「生データ」で送られてしまっている場合、送られている過程で盗み見ることは技術者であればさほど難しいことではありません。
そういう重要な情報を送信する場合、「データの暗号化」を行います。
サイトにアクセスする場合、ブラウザのURL表記の右側や右下に鍵のマークが付いていることがあるかと思います。また、アクセスするURLの先頭が”http://”ではなく、”https://”になっていることがあるかと思います。
これが「暗号化通信が行われている」という証拠になります。
そして、この「暗号化通信」で使われているのがSSLという暗号化手法であり、その手法を提供するのが”OpenSSL”です。
つまり、この”OpenSSL”に脆弱性が見つかった、ということは、「暗号化通信そのものが意味をなさない」ということになります。

ついでに「脆弱性」って?

ついでですので「脆弱性」という言葉についても解説しておきます。ちなみに「ぜいじゃくせい」と読みます。
「脆弱」という言葉の意味は「もろくて、弱いもの」ということです。
ですので、インターネットやコンピュータに関する記事の中に「脆弱性」という言葉が出てきたら、「セキュリティに関して弱いところ、脆いところ」と思って下さい。
今回の場合は「脆弱性が見付かった」ということですので、インターネットの何らかの部分に弱いところ・脆いところが見付かった、ということです。
それはつまり「情報漏洩」の可能性がある、ということになります。

OpenSSLに脆弱性が見つかったら、どういう影響があるの?

今回の脆弱性を悪用すると、OpenSSLがインストールされているサーバ内の「メモリ」と呼ばれる様々な情報を保存してある場所から情報を抜き取ることが出来ます。
その中にはOpenSSLが提供している「暗号化の肝」とも言える「秘密鍵」が保存されている可能性が非常に高いのです。
この「秘密鍵」を盗まれてしまうことで、暗号化された情報を「複合化」出来る可能性が非常に高くなり、結果としてパスワードなどの情報が漏洩してしまう可能性が出てしまいます。

どういったサイトで利用されてるの?

By: Kai Hendry
と言っても「私は関係ない」と思っている方がほとんどかもしれません。
が、この問題は「インターネットを利用している人は一人残らずみんな関係あります」。
海外のサイトですが、こちらに今回の問題に対する主要なサービス事業者の対応状況が記載されています。
The Heartbleed Hit List: The Passwords You Need to Change Right Now
この表の中で”Do you need to change your password?”欄に”Yes”と記載され、チェックが入っているサービスは「対応が終了しているのでパスワードを変更して欲しい」と言っているサービスになります。そう、Facebookやgoogleも入っています。
つまり、この”OpenSSL”を使った暗号化の技術というのは、インターネットの様々なサイトで利用されています。
そして、この表内には日本のサイトは一切含まれていません。
恐らくですが、日本の様々なサービスサイトを運営している企業の多くは「OpenSSLを使っている」という認識の方が安心です。
(というか、なんでいまだにこの件についてコメントしないサービスが多いのでしょうか・・・)

利用者側の対応について

前述したサイトに記載されているサイトの中で「パスワードを変更して欲しい」というチェックが入っているサイトを利用している方はとりあえずパスワードを変更しましょう。
それ以外のサービスについては、頻繁にパスワードを変更することで何とかしのげるとは思いますが・・・正直現実的ではないかも知れません。正直、利用者側が現段階で取れる対応は「頻繁なパスワードの変更」以外にはないでしょう。
また、クレジットカード番号をどこかに記録している人は明細をしっかりとチェックしましょう。
記憶や記録にない決済を見付けたらすぐにカード会社へ連絡をすることをお勧めします。

サーバ管理者の対応について

サーバ管理者としては、既に脆弱性に対応したパッチやバイナリが出ていますので、自分が管理しているサーバのOpenSSLのバージョンを確認し、脆弱性があるバージョンであればアップデートを行いましょう。
これは早急に行う必要があります。Linuxであれば、ほぼ全てのディストリビューションでパッチが適用されたバイナリが提供されています。
また、アップデート後は秘密鍵は再生成する必要があるでしょう。もし秘密鍵を盗まれていれば、OpenSSLをアップデートしても暗号化が解かれてしまいます。

これを機にセキュリティ情報には目を通すようにしましょう

こういうことはこれからも起こると思います。人間が作っているものなので、間違いがないなんてことはあり得ません。
ですので、これを機にパスワードの管理をしっかりとして、セキュリティ情報にも注意して目を通すようにしましょう。

この件はこれからの経過を注視する必要があります

昨日辺りから日本のサービスの対応状況も明らかになり始めました。
サーバの根幹に関わる部分の問題といっても過言ではありませんので、対応には思ったより時間が掛かるケースもありそうです。
しばらくは注視する必要がありそうですので、この記事は「中間解説」という形にさせて頂きます。
いろいろ見えた時点でまた書きたいと思います。
最後に本件について参考になりそうなサイトをご紹介します。
深刻さが増すインターネットの重大な欠陥 | nobi.com
OpenSSLの「Heartbleed」脆弱性、一般ユーザーの自衛は困難 対応は長期戦か | ITmedia
OpenSSL バグの Evernote サービスへの影響はありません | Evernote最新情報
OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家 | @IT
以下は技術者向けです。
OpenSSLの脆弱性で想定されるリスク | めもおきば
CVE-2014-0160 の OpenSSL の脆弱性対応 | @znz blog
OpenSSLのHeartbleed問題を解決する。CentOS 6.5編 | Der fliegende Holländer
※2014/4/11 タイトル修正、内容を一部加筆訂正しています。
[tmkm-amazon]4407330767[/tmkm-amazon]

Share this post